Настройка NAT (PAT) из одного VRF в другой.

    Была задача, настроить  Dynamic NAT with overload или PAT (работает почти также, как dynamic NAT, но при этом происходит трансляция много-в-один, задействуя при этом возможности транспортного уровня) из локального vrf (LAN), в vrf, в котором у меня бегал интернет (INT). 

   Схема следующая:

Настройки портов:

interface FastEthernet0/0

 ip vrf forwarding INET

 ip address 10.0.1.11 255.255.255.0

 ip nat outside

 ip nat enable

 ip virtual-reassembly in

!

interface FastEthernet0/1

 ip vrf forwarding LAN

 ip address 172.20.0.1 255.255.255.0

 ip nat inside

 ip nat enable

 ip virtual-reassembly in

Для транслируемой сети создаем ACL:

ip access-list extended NAT_ACL

 permit ip 172.20.0.0 0.0.0.255 any

Настраиваем маршрут по умолчанию для нашего локального vrf LAN на шлюз провайдера (для подробностей погуглите про vrf route leaking).

ip route vrf FVRF 0.0.0.0 0.0.0.0 10.0.1.1

Настраиваем PAT:

ip nat inside source list NAT_ACL interface Ethernet0/0 vrf LAN overload

Проверяем:

Router#ping vrf LAN 10.0.1.1 source fastethernet 0/1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds:

Packet sent with a source address of 172.20.0.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Смотрим трансляции:

Router#sh ip nat translations

Pro Inside global      Inside local       Outside local      Outside global

icmp 10.0.1.11:136     172.20.0.1:136        10.0.1.1:136       10.0.1.1:136

Спасибо за внимание!